Por que um provedor de autenticação com Passkeys economiza mais de 100 mil dólares

Neste artigo, vamos desmistificar as 5 falácias mais comuns que encontramos quando se trata de implementar Passkeys no processo de autenticação (existente) e usar um cálculo de exemplo para mostrar por que faz sentido procurar um provedor especializado que realmente entenda de Passkeys.

As Passkeys são fantásticas. Pela primeira vez na história da autenticação, não apenas a segurança para os usuários, mas também a conveniência é significativamente melhorada. Hoje, a maioria das pessoas está acostumada a desbloquear o celular com o rosto ou a impressão digital. Trazer esse futuro amigável para a web é apenas o próximo passo lógico. Juntamente com a infraestrutura de chave pública subjacente que utiliza criptografia assimétrica, as Passkeys parecem a solução perfeita. Isso é verdade da perspectiva do usuário final, mas para as organizações, implementar esse novo padrão de autenticação internamente é um esforço enorme que envolve altos riscos e custos. Este artigo explica as falácias mais comuns sobre Passkeys e como mitigá-las.

Primeiramente, as Passkeys são baseadas em padrões abertos definidos pela aliança FIDO (Fast Identity Online), da qual fazem parte todos os grandes players de tecnologia, como Microsoft, Apple, Google e outros como PayPal, eBay ou Visa.

No entanto, esses padrões abertos são mal documentados, tornando a implementação em sistemas existentes e a integração nos fluxos de usuário um desafio na prática. Exige a definição de fluxos de usuário e integrações técnicas do zero. Para adicionar Passkeys ao seu sistema existente, a documentação e a implementação básicas simplesmente não são suficientes se você já possui autenticação para seus usuários atuais.

Além disso, a dificuldade realmente começa se você tem usuários de diferentes plataformas (iOS, Android, Windows) usando múltiplos dispositivos, já que as Passkeys são (parcialmente) vinculadas ao dispositivo. A implementação, assim como a experiência do usuário, varia dependendo da plataforma, tornando uma tarefa complexa oferecer Passkeys como o método de login preferencial para todos os seus usuários. Especialmente hoje em dia, onde muitos usuários têm mais de um dispositivo, é essencial suportar adequadamente todos os dispositivos e sistemas operacionais.

Teoricamente, isso está correto, mas existem custos inerentes, especialmente para a integração e manutenção. Inicialmente, você precisa trabalhar em um conceito para os fluxos de processo e UX, o que geralmente é executado por 1-2 gerentes de produto. Isso pode levar até 2 meses e, dependendo da experiência dos gerentes de produto, pode custar até $30.000 apenas nessa fase. Uma vez feito isso, são necessários arquitetos de sistema, gerentes de produto e desenvolvedores para integrar essa solução. Em seguida, há os esforços de manutenção, por exemplo, para operar o servidor FIDO2. Além disso, você precisa cuidar de uma transição de usuário suave para não sobrecarregar seus usuários, o que é muito complicado de projetar e implementar internamente e, portanto, caro.

Adicionalmente, você precisa operar a infraestrutura: servidores e bancos de dados não são gratuitos hoje em dia. Especialmente se você precisa que eles funcionem de forma segura e confiável, com alta disponibilidade em um ponto tão crítico da sua aplicação. Tudo isso custa muito dinheiro que você preferiria gastar em seus recursos principais.

Além disso, outros players externos para fornecer os sistemas de suporte (fallback), como serviços de e-mail ou SMS, precisam ser selecionados, gerenciados e monitorados. Claro, você também pode fazer isso por conta própria, mas seus usuários esperam uma entrega extremamente rápida de e-mails transacionais e alta disponibilidade. Acredite, você não quer otimizar a entrega de e-mails por conta própria. Esses serviços não são gratuitos e aumentam os custos.

Ao conversar com clientes, essa é provavelmente a concepção errônea mais comum e a verdadeira dificuldade da autenticação. Oferecer Passkeys para uma aplicação nova, do zero, pode ser feito de forma bastante direta. A parte complicada é fazer a transição dos usuários existentes para as Passkeys. Na maioria das vezes, a base de usuários é bastante heterogênea, pois há os adotantes iniciais que adorariam abandonar suas senhas ontem em vez de hoje e usar Passkeys o mais rápido possível. Por outro lado, há pessoas que gostam de manter suas senhas. Criar agora fluxos individuais diferentes, enquanto se conduz todos os usuários de forma suave e inteligente em direção às Passkeys, é o verdadeiro desafio.

Após a integração inicial, muitas pessoas pensam que as Passkeys simplesmente funcionam por conta própria e que a adoção virá naturalmente. Essa é outra concepção errônea comum, pois as Passkeys são um recurso crítico para a segurança que traz muitos riscos. Isso significa que elas precisam ser monitoradas e a equipe que as monitora precisa ser especialista em segurança com muita experiência.

Além disso, a adoção de Passkeys precisa ser continuamente monitorada para detectar possíveis problemas na fase de transição que exijam mudanças na implementação.

Antes mesmo de pensar na implementação técnica das Passkeys e começar a programar, muito trabalho conceitual deve ser feito primeiro. Especialmente quando se trata de integrar uma nova tecnologia como as Passkeys, onde a qualidade e a quantidade de melhores práticas e documentação existentes são baixas, muitos processos conceituais precisam ser considerados. Entre os mais importantes estão:

1. Esboçar todo o processo de cadastro e login: Ao projetar o fluxo desde o início do cadastro ou login até a autenticação bem-sucedida, inúmeras etapas de processo ocorrem em segundo plano. Elas precisam ser modeladas e estruturadas em árvores lógicas complexas. O design apenas dos casos padrão já é uma tarefa complicada, que não se compara ao esforço ainda maior necessário para cobrir todos os possíveis casos de borda. No final, deve haver um processo de autenticação que funcione em todos os cenários potenciais e autentique o usuário.
2. Cuidar do uso multiplataforma: É crucial garantir que os usuários possam usar Passkeys tanto entre dispositivos quanto entre plataformas, guiando-os suavemente pelos processos de autenticação, mesmo quando as Passkeys ainda não estão disponíveis.
3. Garantir a retrocompatibilidade: Para promover o uso de Passkeys, é necessário desenvolver um mecanismo que não apenas detecte automaticamente a prontidão para Passkeys de todos os dispositivos com os quais o usuário deseja se autenticar, mas também perceba se os usuários desejam fazer login com Passkeys em primeiro lugar. Se os usuários, em vez disso, preferirem continuar com as opções de login atuais, como senhas, logins sociais ou SSO, a autenticação híbrida precisa ser executada em paralelo.
4. Fornecer serviços de recuperação: Pode parecer óbvio, mas criar um fluxo para redefinições de senha de autoatendimento e possíveis opções de fallback em caso de erros é uma das tarefas mais desafiadoras, pois você precisa garantir que os usuários possam se autenticar caso tenham esquecido a senha ou nunca tenham definido uma.
5. Projetar uma ótima UX: UX é muito mais do que apenas criar uma interface amigável. Para software em geral, o gerenciamento de dispositivos e preferências do usuário, a comunicação com o usuário e o design personalizável para sua identidade visual desempenham um papel importante. Como as Passkeys são vinculadas ao dispositivo, as empresas precisam se concentrar principalmente no gerenciamento de dispositivos para garantir que o uso de Passkeys funcione perfeitamente em todos os dispositivos de seus usuários. Quando se trata de comunicação com o usuário, é necessário educar seus usuários com mensagens predefinidas e testadas.

Todos esses passos exigem muitas horas de gerentes de produto e desenvolvedores e são frequentemente ignorados no desenvolvimento de software.

O debate sobre construir versus comprar software não é nada novo. Ao decidir sobre isso, você deve levar muitos fatores em consideração. O fator chave para qualquer empresa é o bloco de custos que vem do desenvolvimento ou da compra do software. Quando soluções de software, por exemplo, para autenticação com Passkeys, são compradas, o argumento frequentemente usado é que os custos iniciais são muito altos. No entanto, as empresas geralmente esquecem que o desenvolvimento interno é pelo menos tão caro, já que seus custos dependem, por exemplo, da complexidade do próprio software, do gerenciamento de produto, do design UX/UI, da equipe de desenvolvimento e, muitas vezes, de muitos custos ocultos (especialmente manutenção e atualizações).

Para esclarecer o custo de desenvolvimento de software de autenticação, aqui está um cálculo básico para uma empresa com uma equipe de autenticação interna que oferece seus serviços para usuários de desktop, mobile e aplicativos nativos. Além da autenticação por e-mail/número de telefone e senha, eles também têm logins sociais:

• 2 desenvolvedores de backend: $126.000
• 1 desenvolvedor de frontend: $60.000
• 1 desenvolvedor iOS: $60.000
• 1 desenvolvedor Android: $68.000
• 2 gerentes de produto: $170.000
• 1 gerente de projeto: $85.000

Observe que estes são salários anuais totais e são baseados em salários médios por padrões da indústria de acordo com o Glassdoor, excluindo custos trabalhistas não salariais.

• Duração: 1,5 meses
• Envolvidos da equipe de desenvolvimento de software: 2 gerentes de produto, 1 gerente de projeto
• Custos totais (salário): $31.875

• Duração: 3,0 meses
• Envolvidos da equipe de desenvolvimento de software: 2 gerentes de produto, 1 gerente de projeto, 2 desenvolvedores de backend, 1 desenvolvedor de frontend, 1 desenvolvedor iOS, 1 desenvolvedor Android
• Custos totais (salário): $143.750

Custos totais de desenvolvimento de software: $175.625

Claro, esta é uma simplificação que não leva em conta muitos custos, como custos de transição ou treinamento. Caso você precise de infraestrutura extra, como servidores e bancos de dados ou serviços em nuvem, você terá custos adicionais. Especialmente para software de autenticação que precisa proteger dados pessoais ao máximo, os custos são provavelmente significativamente mais altos, então vale a pena usar provedores de Passkeys dedicados como a Corbado.

Resumindo: as Passkeys são um padrão aberto que qualquer um pode integrar gratuitamente. Mas essa é uma visão muito limitada. Ao analisar mais de perto as implicações do uso de Passkeys, fica óbvio que usar um provedor de Passkeys como a Corbado é a maneira muito mais inteligente e econômica. Especialmente porque a autenticação raramente é um recurso principal e mais uma commodity que precisa ser feita em um produto moderno, aproveitar o know-how e as capacidades de um especialista externo é simplesmente inteligente.

Ainda não está convencido? Experimente a solução da Corbado gratuitamente e sem nenhum risco hoje mesmo.